Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Transkript

1 Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich JURION Wissensmanagement sowie für die Nutzung der jcloud kann es sein, dass WOLTERS KLUWER Zugriff auf personenbezogene Daten des Kunden oder sonstiger Dritter erhält. Die personenbezogenen Daten werden nachfolgend einheitlich Kundendaten genannt. Diese Anlage AD konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien bei der Durchführung des Vertrages. 2. Auftragsdatenverarbeitung 2.1 WOLTERS KLUWER erhebt, verarbeitet und/oder nutzt die Kundendaten ausschließlich im Auftrag und nach Weisung des Kunden im Sinne von 11 BDSG (Auftragsdatenverarbeitung). Der Kunde bleibt im datenschutzrechtlichen Sinn verantwortliche Stelle ( Herr der Daten ) und ist für die Rechtmäßigkeit der auftragsgemäßen Erhebung, Verarbeitung und/oder Nutzung der Kundendaten verantwortlich. 2.2 Die Erhebung, Verarbeitung und/oder Nutzung der Kundendaten hat ausschließlich und vollständig innerhalb der Europäischen Union und in der/dem in Ziffer 3 abschließend festgelegten Art, Umfang und Zweck zu erfolgen. 2.3 WOLTERS KLUWER ist verpflichtet, einen betrieblichen Datenschutzbeauftragten schriftlich zu bestellen, soweit sie in der Regel mindestens zehn (10) Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt ( 4f Abs. 1 Satz 1 bis 4 BDSG). 3. Umfang, Art und Zweck der Datenverarbeitung, Art der Kundendaten und Kreis der Betroffenen 3.1 Umfang, Art und Zweck der Auftragsdatenverarbeitung a. WOLTERS KLUWER übernimmt den Support für das JURION Portal, die jdesk-software und JURION Wissensmanagement. Dies umfasst Online-Schulungen Telefonischer Service und Kundensupport Fehlerbehebung Die Datenerhebung erfolgt in der Regel durch Remote-Zugriff von WOLTERS KLUWER auf die Daten des Kunden bzw. per Telefon, Fax oder . 1

2 b. Des Weiteren stellt WOLTERS KLUWER dem Kunden Rechnerkapazität zur Verfügung, auf der der Kunde Daten speichern kann (jcloud). 3.2 Art der Kundendaten, die WOLTER KLUWER erhebt, verarbeitet und nutzt Die Datenverarbeitung betrifft folgende Daten der Betroffenen: Vor- und Nachname (ggf. Titel) Anrede Geburtsdatum Lieferanschrift Rechnungsanschrift Mobilnummer Telefonnummern Faxnummern Adresse - und sonstige Korrespondenz Passwörter Beruf/Tätigkeit Interessen Geschäftliche Verhältnisse Bankdaten Web-Visitenkarte (zur Person/Publikationen/Sonstiges) 3.3 Kreis der von der Auftragsdatenverarbeitung Betroffenen Mandanten oder sonstige Vertragspartner des Kunden sowie sonstige Personen, von denen der Kunde Daten auf seinem IT-System hat, wie Gegner von Mandanten. 4. Weisungen WOLTERS KLUWER ist verpflichtet, den Weisungen aus dem Vertrag und den im Einzelfall erteilten Weisungen des Kunden zur Erhebung, Verarbeitung und/oder Nutzung der Kundendaten (nachfolgend einheitlich Datenschutzrechtliche Weisungen genannt) im Rahmen der beauftragten Dienstleistung uneingeschränkt zu folgen. 5. Datensicherheit/ Technische und organisatorische Maßnahmen 5.1 WOLTERS KLUWER hat die bei der Erhebung, Verarbeitung und/oder Nutzung von Kundendaten beschäftigten Personen entsprechend 5 BDSG schriftlich auf das Datengeheimnis zu verpflichten. 2

3 5.2 WOLTERS KLUWER hat die Organisation der von ihr zu verantwortenden Prozesse und Maßnahmen derart zu gestalten, dass sie den Anforderungen des Datenschutzes gerecht werden und dass sichergestellt ist, dass Kundendaten nur entsprechend der durch den Kunden erteilten Datenschutzrechtlichen Weisungen erhoben, verarbeitet und/oder genutzt werden und insbesondere nicht unbefugt Dritten zur Kenntnis gelangen können. WOLTERS KLUWER ergreift darüber hinaus alle erforderlichen Maßnahmen, damit alle bei der Erhebung, Verarbeitung und/oder Nutzung von Kundendaten beschäftigten Personen die datenschutzrechtlichen Vorschriften beachten. 5.3 WOLTERS KLUWER garantiert, innerhalb und im Rahmen des ihr nach dem Softwarevertrag zugewiesenen Verantwortungsbereichs diejenigen technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere derjenigen des BDSG, des TKG und des TMG, sicherzustellen. Im Rahmen der automatisierten Verarbeitung der Kundendaten garantiert sie dabei insbesondere, die Maßnahmen zu treffen, die die Erfüllung der Anforderungen des 9 BDSG nebst derjenigen der Anlage zu 9 Satz 1 BDSG sicherstellen: a) Zutrittskontrolle Die Zutrittskontrolle ist nach DIN ISO ausgeführt und umfasst Schutz vor unerlaubtem Zutritt und gegen Beschädigung und Störung von Organisationsinfrastruktur und der Organisation gehörenden Informationen. Die für die Absicherung der Zutrittskontrolle zuständige ISO-Maßnahme Sicherheitsbereiche müssen durch angemessene Zutrittskontrollen geschützt sein, um sicherzustellen, dass nur autorisierten Mitarbeitern Zutritt gewährt wird wird hierbei in der Praxis umgesetzt. Die Zutrittskontrolle wird wie in den technisch-organisatorischen Maßnahmen des BDSG (Anlage zu 9 BDSG Nr.1) gefordert, ausgeführt. b) Zugangskontrolle Die Zugangskontrolle ist nach DIN ISO ausgeführt, wozu Zugangsrichtlinien zu Informationen der Organisation, Umsetzung einer Benutzerverwaltung und deren Zugriffsrechten, Sensibilisierung der Mitarbeiter im Umgang mit Informationen und Ihrem Passwort, Zugangskontrolle zu Netzen, inklusive Trennung von sensiblen Netzen, sowie die Zugriffskontrolle auf das Betriebssystem und die darunter liegenden Anwendungen gehören. Die Zugangskontrolle wird wie in den technisch-organisatorischen Maßnahmen des BDSG (Anlage zu 9 BDSG Nr.2) gefordert ausgeführt. 3

4 c) Zugriffskontrolle Die Zugriffskontrolle wird nach DIN ISO ausgeführt. Ein zugriff auf Daten ist ausschließlich einem nach DIN ISO definierten Personenkreis sowie im Rahmen der Zugangskontrolle definierten Bereich möglich und gegen unbefugten Zugriff gesichert. Die Zugriffskontrolle wird auf Basis der technisch-organisatorischen Maßnahmen des BDSG Anlage zu 9 BDSG, Nr3 ausgeführt. d) Weitergabekontrolle Im Sinne der Weitergabekontrolle werden personenbezogene Daten ausschließlich gesichert sowie verschlüsselt (HTTPS) übertragen. Die Speicherung der Daten wird ausschließlich dediziert auf dem dafür vorgesehenen System in einem Geschützen und überwachten Bereich durchgeführt. Jeglicher administrativer Zugriff erfolgt auf Basis der Zugangs und Zugriffskontrolle. Die Weitergabekontrolle entspricht der Anlage zu 9 BDSG, Nr 4. e) Eingabekontrolle Die Eingabekontrolle wird auf Basis von ISO über Auditingmechanismen sowie Logfiles auf den einzelnen Systemen überwacht. Die Eingabekontrolle wird auf Basis der Anlage zu 9 BDSG, Nr 5 ausgeführt. f) Auftragskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Datenschutzrechtlichen Weisungen des Kunden verarbeitet werden können: Die Auftragskontrolle wird im Sinne des 11 BDSG durchgeführt. Hierzu ist sichergestellt, dass Personenbezogene Daten nur entsprechend den Weisungen von WOLTERS KLUWER z.b. zu Abrechnungszwecken verarbeitet werden können. Hierzu überwacht WOLTERS KLUWER seine Auftragnehmer gemäß der Anlage zu 9 BDSG Nr. 6. g) Verfügbarkeitskontrolle Die Verfügbarkeitskontrolle wird anhand einer permanenten Netzwerküberwachung sichergestellt. Zum Schutz vor Datenverlusten wird täglich eine Datensicherung mit definierten Aufbewahrungszeiten durchgeführt und außerhalb des Rechenzentrums aufbewahrt. Dies entspricht den Vorgaben der Anlage zu 9 BDSG Nr.7. 4

5 6. Berichtigung/ Löschung/ Sperrung 6.1. WOLTERS KLUWER hat ihr überlassene und alle ergänzend erhobenen, verarbeiteten und/oder genutzten Kundendaten vollständig und unwiderruflich in allen Systemen von WOLTERS KLUWER (einschließlich sämtlicher Vervielfältigungen, auch in Archivierungs- und Sicherungsdateien) zu löschen oder zu vernichten (nachfolgend einheitlich löschen genannt), (i) in dem die Verarbeitung und/oder die Nutzung der Kundendaten nicht mehr für die Erfüllung des Supports erforderlich ist, (ii) nach entsprechender Datenschutzrechtlicher Weisung des Kunden, oder (iii) bei Beendigung des Vertrages für jdesk. WOLTERS KLUWER ist zudem verpflichtet, Kundendaten auf Datenschutzrechtliche Weisung des Kunden hin unverzüglich zu berichtigen Wenn und soweit (a) Kundendaten aufgrund einer gesetzlichen Aufbewahrungs- und/oder Speicherpflicht von WOLTERS KLUWER (insbesondere nach den Buchführungsvorschriften gemäß 145 bis 147 AO und den Aufbewahrungsfristen gemäß 257 HGB) über die in Ziffer 6.1 dieser Anlage AD genannten Löschzeitpunkte hinaus aufzubewahren sind; oder (b) Kundendaten zur Klärung laufender rechtlicher und/oder tatsächlicher Auseinandersetzungen zwischen WOLTERS KLUWER und dem Kunden und/oder zwischen dem Kunden und Mandanten des Kunden über die in Ziffer 6.1 dieser Anlage AD genannten Löschzeitpunkte hinaus erforderlich sind, hat WOLTERS KLUWER anstelle der in Ziffer 6.1 dieser Anlage AD bestimmten Löschpflicht Kundendaten so zu kennzeichnen und zu speichern, dass ihre weitere Verarbeitung und/oder Nutzung so eingeschränkt wird, dass diese ausschließlich zu den mit Aufbewahrungs- und/oder Speicherpflichten verfolgten Zwecken erfolgen können. 7. Mitteilungspflichten Stellt WOLTERS KLUWER fest, dass bei ihr gespeicherte personenbezogene Daten des Kunden unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, hat sie dies unverzüglich dem Kunden mitzuteilen. 8. Beauftragung Dritter WOLTERS KLUWER ist berechtigt, Dritte mit der Erfüllung ihrer Verpflichtungen zu beauftragen. Als Dritte im Sinne dieser Ziffer 8 gelten nicht mit WOLTERS KLUWER arbeitsvertraglich verbundene oder im Rahmen der Arbeitnehmerüberlassung entliehene und bei der Erhebung, Verarbeitung und/oder Nutzung von Kundendaten beschäftigte Personen, Unternehmen, welche gem. 15 AktG mit WOLTERS KLUWER verbunden sind, sowie deren Mitarbeiter. Schon jetzt stimmt der Kunde zu, dass WOLTERS KLUWER ihre Verpflichtungen auf EBS Romania S.R.L ro Cluj-Napoca, Str. Pavel Rosca Nr. 9, übertragen kann. 5

6 9. Kontroll- und Auskunftsrechte Der Kunde hat das Recht, die Auftragskontrolle gem. 11 Nr. 7 BDSG nach Absprache mit WOLTERS KLUWER durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. WOLTERS KLUWER stellt sicher, dass sich der Kunde von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. (Stand: August 2012), den [Firmenstempel, Unterschrift des Kunden] 6